E-Government Blog | Die Post

Unabhängige Prüfung: Einblick in die laufenden Arbeiten bei der Post

Geschrieben von Die Schweizerische Post AG | Apr 20, 2022 9:23:00 AM

Die Post hat ab Anfang 2021 in mehreren Etappen alle wesentlichen Dokumente und Komponenten der Betaversion ihres zukünftigen E-Voting-Systems mit vollständiger Verifizierbarkeit auf der Fachplattform GitLab veröffentlicht. Expertinnen und Experten weltweit haben seither an der Überprüfung teilgenommen und Verbesserungen gemeldet, welche die Post umgesetzt hat. Aktuelle Informationen zu den Befunden finden sich stets auf diesem Blog.

Im Juli 2021 hat die Bundeskanzlei zudem mehrere Expertengruppen beauftragt, das System in den Bereichen Kryptografie, Software, Infrastruktur und Betrieb sowie mit Penetrationstests zu überprüfen. Diese unabhängige Prüfung ist eine Voraussetzung für den Einsatz eines Systems gemäss den zukünftigen Rechtsgrundlagen. Die Post stand mit den Expertinnen und Experten während der Prüfung im Austausch. Sie hat die Prüfberichte eingehend analysiert und Antwortberichte dazu vorgelegt, um aufzuzeigen, wie sie die gemeldeten Befunde lösen wird.

 

Stand der Arbeiten und Handlungsschwerpunkte

 

Die Arbeiten zur Behebung der gemeldeten Befunde laufen. Im neusten Systemrelease hat die Post einen Teil der Befunde aus den Prüfberichten bereits umgesetzt. Auf der Fachplattform GitLab sind die gelösten Befunde pro Systemkomponente aufgeführt (Quellcode System, Crypto-Primitives, Kryptografisches Protokoll).

Andere Verbesserungen stehen noch an: Die Post hat einen Handlungsplan zur Behebung der ausstehenden Befunde erarbeitet und die Bundekanzlei sowie die involvierten Kantone darüber informiert. Der Schwerpunkt dieser Arbeiten liegt auf Aspekten des kryptografischen Protokolls und deren Umsetzung in der Software. Die Post nimmt Präzisierungen sowie gezielte Verbesserungen und Neucodierungen vor, insbesondere in den kryptografischen Beweisen und bei Befunden, welche das Stimmgeheimnis und die individuelle Verifizierbarkeit betreffen.

Die Post stellt den Kantonen das einsatzbereite System erst zur Verfügung, wenn die Arbeiten aus dem Handlungsplan umgesetzt sind. So sollen die interessierten Kantone im Laufe von 2023 im Rahmen des rechtlich definierten Versuchsbetriebs E-Voting einführen können.

 

Antwortberichte der Post auf die Expertenberichte

 

Die Prüfberichte der Experten sind auf der Webseite der Bundeskanzlei verfügbar. Die Antwortberichte der Post sind nachstehend zu finden.

Expertengruppe Prüfbereich/e Antwortbericht/e
der Post (englisch)
Adamiste Stephane (SCRT) Betrieb und Organisation Response to SCRT Scope 3
Basin David (Contego Laboratories)  Kryptografisches Protokoll Response to Basin Scope 1
Dubuis Eric, Haenni Rolf, Koenig Reto and Locher Philipp (BFH)  Kryptografisches Protokoll; Software

Reponse to BFH
Scope 1
Reponse to BFH Scope 2

Essex Aleksander (Western University Canada) Kryptografisches Protokoll Response to Essex
Scope 1
Ford Bryan (EPFL) Kryptografisches Protokoll; Software; Betrieb und Organisation Response to Ford Scopes 1, 2 & 3
Fontes Antonio (SCRT) Betrieb und Organisation Response to SCRT Scope 2a
Haines Thomas (Australian National University), Pereira Olivier (Université catholique Louvain), Teague Vanessa (Thinking Cybersecurity) Kryptografisches Protokoll; Software Response to Haines, Pereira, Teague Scopes 1 & 2T
Mowat Alain (SCRT) Penetrationstest Response to SCRT
Scope 4
Perrig Adrian (ETHZ) Penetrationstest Response to ETHZ Scope 4